5개월간 조용히 정보만 빼갔다…중국인 전 직원 소행인듯

쿠팡 대표, 中직원 범행 질문에 “수사의 영역”
韓 공략하려는 외국기업에 고객정보 팔릴 수도
C커머스 진출 확대되는 상황에서 유출 터져

고객 정보가 대랸 유출된 쿠팡의 서울 잠실 본사 건물에 30일 오후 긴장감이 돌고 있다. 변영욱 기자 cut@donga.com

쿠팡의 이번 대규모 고객 정보 유출 사건은 쿠팡에서 이미 퇴직한 중국 국적 직원의 소행일 가능성이 커지고 있다. 쿠팡 측은 경찰에 ‘신원불상자’를 대상으로 고소장을 제출했지만 개인정보보호위원회(개인정보위)에 제출한 사건경위 보고서에는 전 중국 국적 직원의 범행 가능성을 구체적으로 설명한 것으로 알려졌다. 또 경찰 수사 과정에서 중국 국적의 직원이 해외 체류 중 개인정보를 빼돌린 뒤 협박성 이메일을 보낸 정황도 포착된 것으로 확인됐다.

30일 경찰과 쿠팡에 따르면 해당 직원은 퇴사 후 해외로 나간 상태에서 “회원들의 개인정보를 보유하고 있다”며 “보안을 강화하지 않으면 유출 사실을 언론에 알리겠다”는 내용의 이메일을 회사 측에 보낸 것으로 파악됐다. 금전 요구는 하지 않은 것으로 알려졌다.

경찰은 해당 이메일 발송자가 빼돌린 개인정보를 이미 제3자에게 전달하거나 판매했을 가능성도 염두에 두고 디지털 포렌식 등 추가 수사에 착수한 상태다.

정부는 쿠팡 서버의 인증 절차, 즉 로그인 과정 자체가 취약한 점이 이번 정보 유출의 원인인 것으로 보고 있다. 쿠팡의 최초 신고서에 따르면 공격자는 ‘유효한 인증 없이 접근한 기록이 발견됐고, 서명된 액세스 토큰을 악용한 것으로 추정된다’고 돼 있다. 액세스 토큰은 특정 정보에 접근할 수 있는 권한을 말한다.

정보기술(IT) 업계와 유통업계는 해당 직원이 IT 개발자 출신일 가능성이 높다고 보고 있다. 업계 관계자는 “중국 국적 직원이라면 개인정보 접근 프로세스 개발자일 가능성이 있다”며 “쿠팡 정도 규모의 보안 체계를 고려하면 직원 단독 범행이 아닐 수 있다”고 말했다. 내부 직원이 외부 전문 해커와 공모해 데이터베이스에 접근했을 가능성도 있다는 얘기다.

박대준 쿠팡 대표이사는 30일 중국 국적 직원의 소행이냐는 기자들의 질문에 “수사의 영역”이라며 “저희는 경찰과 정부 기관에 적극 협조 중이며 조사나 수사가 이뤄지면 그런 부분은 명확해질 것”이라고 답했다.

전문가들은 이번 정보 유출이 한국 시장을 공략하려는 외국 기업들에 의해 악용될 수 있다고 우려한다. 임종인 고려대 정보보호대학원 명예교수는 “쿠팡은 사실상 대부분의 국민이 이용하다 보니 쿠팡 고객 정보는 국내 소비자를 겨냥하는 다른 업체에 매력적인 표적”이라며 “유출된 내용이 한국 시장을 공략할 때 유용한 내용이다 보니 다크웹 같은 곳에서 비트코인을 통해 수백억 원에 거래될 수 있을 것으로 보인다”고 말했다.

일각에서는 이번 유출 사고로 알리익스프레스(알리)와 테무 등 중국 이커머스에 대한 불신이 커질 수 있다는 전망도 나온다. 중국 알리바바인터내셔널은 최근 신세계그룹과 합작법인(JV)을 출범하고 한국 시장 진출을 본격화하고 있다. 테무 역시 지난해 2월 한국 법인을 설립한 데 이어 올해 초에는 한국 판매자를 대상으로 ‘로컬 투 로컬’ 모델을 도입했다. 한 유통업계 관계자는 “C커머스 기업들이 한국 시장 진출을 가속화하는 상황에서 공교롭게도 최대 경쟁자인 쿠팡을 흔드는 사건이 터진 셈”이라며 “유출된 개인정보들이 C커머스로 흘러들어가는 상황도 우려된다”고 말했다.